Home Kennis Enkele vragen omtrent de meldplicht datalekken

Enkele vragen omtrent de meldplicht datalekken

18 januari 2016

Het nieuwe jaar is begonnen en de meldplicht datalekken is in werking getreden. Per 1 januari 2016 zijn zowel bedrijven als overheden verplicht om datalekken te melden aan de betrokkene(n) en de Autoriteit Persoonsgegevens. Deze toezichthouder heeft onlangs de definitieve beleidsregels gepubliceerd. Hieronder enkele onduidelijkheden die om opheldering vragen. 

Wat is een datalek?

Van een datalek is sprake bij een inbreuk op de beveiliging waardoor persoonsgegevens zijn blootgesteld aan verlies of onrechtmatige verwerking. De meest gangbare voorbeelden van datalekken zijn een verloren USB-stick, gestolen iPad of inbraak in een databestand. Het vernietigen van gegevens valt echter ook onder het datalek, aangezien dit nog steeds nadelige gevolgen kan hebben voor betrokkenen.

Melding aan zowel toezichthouder en betrokkene?

Ernstige datalekken moeten gemeld worden. Een lek geldt als ernstig indien het een grote hoeveelheid data betreft (omvang) of indien het om gevoelige gegevens gaat (aard). Bij de omvang van de getroffen verwerking gaat het om de hoeveelheid gelekte persoonsgegevens per persoon of een grote groep betrokkenen van wie er persoonsgegevens zijn gelekt. Bij persoonsgegevens van gevoelige aard kan gedacht worden aan gegevens die bijvoorbeeld gaan over iemands godsdienst, gezondheid, of financiële situatie. Maar het kan ook gaan om prestaties op school, relatieproblemen, inloggegevens of gegevens die misbruikt kunnen worden voor identiteitsfraude (bijv. burgerservicenummers). Een verplichte melding aan de toezichthouder betekent niet direct dat ook melding moet worden gedaan aan betrokkenen. Volgens de wet bescherming persoonsgegevens moet het datalek ook aan betrokkenen worden gemeld als het waarschijnlijk ongunstige gevolgen zal hebben voor hun persoonlijke levenssfeer. Te denken valt aan onrechtmatige publicatie of aantasting in eer en goede naam. Ook hier geldt dat bij gegevens van gevoelige aard in principe een meldplicht bestaat. Echter, indien de persoonsgegevens ontoegankelijk of onbegrijpelijk zijn doordat beschermingsmaatregelen zijn genomen, dan kan de melding aan betrokkene achterwege worden gelaten.

Termijn?

De wet bepaalt dat het datalek onmiddellijk gemeld dient te worden. De datalek moet binnen 72 uur na ontdekking gemeld worden aan de Autoriteit Persoonsgegevens.

Melding uitsluitend schriftelijk?

De toezichthouder stelt een webformulier ter beschikking dat kan worden ingevuld. De gevraagde gegevens kunnen ook per fax worden toegezonden.

Meldplicht voor bewerker?

Alleen de verantwoordelijke voor de gegevensverwerking is verplicht het datalek te melden aan de toezichthouder en/of betrokkenen. Maar de bewerker (bijv. een administratiekantoor) van de gegevens is vaak de eerste die het lek constateert. Het is aan de verantwoordelijke om ervoor  zorg te dragen dat de bewerker het lek zo snel mogelijk aan hem doorgeeft. Partijen dienen dit vast te leggen in een bewerkersovereenkomst.

Boete

De toezichthouder kan zowel een boete opleggen voor het niet melden van het datalek aan de toezichthouder als voor het niet melden aan de betrokkenen. De boete kan maximaal oplopen tot € 820.000,-. Indien de overtreding niet opzettelijk is gepleegd en geen sprake is van ernstig verwijtbare nalatigheid dan zal eerst een bindende aanwijzing worden gegeven.

[Kortom bij het melden van datalekken is het verstandig om van deze beleidsregels goed op de hoogte te zijn.]

Bronartikel 34a Wet bescherming persoonsgegevens, Beleidsregels meldplicht datalekken, Factsheet 'Meldplicht datalekken'

Deel dit artikel via LinkedIn en e-mail